Эксплойты представляют из себя особый вид вредоносного ПО, которое используется злоумышленниками для установки различных троянских программ или бэкдоров на компьютер пользователя. Такая операция установки с использованием эксплойтов осуществляется незаметно для пользователя, что дает злоумышленникам неоспоримые преимущества. Эксплойт пытается использовать уязвимость в том или ином компоненте ОС для проведения подобной операции.

Для пользователя наиболее опасным сценарием является использование злоумышленниками эксплойта, который позволяет удаленно установить код в ОС. В таком случае человеку достаточно посетить скомпрометированный веб-ресурс для заражения вредоносным кодом (drive-by). Если на вашем компьютере установлена уязвимая версия ПО: браузера или плагинов к нему, то вероятность того, что вы сможете заразиться вредоносным кодом очень высока.

Несколько часов назад стало известно, что известный веб-сайт для разработчиков PHP — php.net скомпрометирован вредоносным содержимым (JavaScript) и осуществляет доставку вредоносного ПО для пользователей через набор эксплойтов.

We are continuing to work through the repercussions of the php.net malware issue described in a news post earlier today. As part of this, the php.net systems team have audited every server operated by php.net, and have found that two servers were compromised: the server which hosted the www.php.net, static.php.net and git.php.net domains, and was previously suspected based on the JavaScript malware, and the server hosting bugs.php.net. The method by which these servers were compromised is unknown at this time.

A further update on php.net

One of our research tools flagged php.net as distributing malware. The site appears to have been compromised and had some of its javascript altered to exploit vulnerable systems visiting the website, instead of ad network vector that we typically see in more popular sites.

Barracuda Labs

Вредоносное ПО Win32/TrojanDownloader.Nymaim представляет из себя загрузчик троянской программы, который также содержит возможности вымогателя (ransomware) и может блокировать компьютер пользователя с целью выкупа. Мы уже писали о нем раньше и отмечали, что для распространения этой угрозы злоумышленники использовали компрометацию веб-серверов под управлением Linux с последующей доставкой вредоносного кода пользователям. Установка Nymaim на компьютеры пользователей осуществлялась с использованием набора эксплойтов Blackhole, автор которого недавно был арестован правоохранительными органами. Одно из последних исследований независимого ресерчера kafeine, которое основывается на анализе одной из панелей управления этого набора эксплойтов, показывает, что злоумышленники смогли заразить почти 3 млн. пользователей с начала проведения операции «The Home Campaign».



Наш прошлый анализ Nymaim был посвящен исследованию различных методов обфускации его кода, которые злоумышленники использовали в нем с целью усложнения анализа. В этом материале мы более подробно остановимся на рассмотрении нового вектора заражения и детальном анализе протокола взаимодействия с C&C.

Adobe сообщают, что специальный защищенный режим sandboxing для проигрывателя Flash Player теперь доступен для браузера Safari на Mac OS X. Такая техника защиты или смягчения (mitigation) от действий эксплойтов/вредоносного кода для проигрывателя уже была внедрена для трех наиболее популярных браузеров MS Internet Explorer, Google Chrome и Mozilla Firefox. Режим sandbox позволяет ограничивать набор выполняемых процессом (плагина браузера) функций, в контексте которого запущен Adobe Flash Player для проигрывания нужного содержимого.

В этом посте мы публикуем информацию о потенциально нежелательном ПО (Potentially Unwanted Application, PUA), компоненты которого обнаруживаются ESET как Win32/Kankan. Эти компоненты реализованы в менеджере загрузок Xunlei. Мы обратили внимание на это ПО из-за следующих интересных особенностей:

• Для обеспечения своей скрытности и выживаемости в системе это ПО регистрирует один из своих компонентов как плагин для Microsoft Office.
• Обнаруженный вредоносный код осуществляет установку приложений для устройств под управлением Android, которые подключены к компьютеру через USB, без ведома пользователя.
• Win32/Kankan содержит код для обнаружения специальных системных инструментов, которые анализируют его поведение в системе.
• Файлы Xunlei, которые содержат этот вредоносный код, подписаны цифровой подписью, принадлежащей китайской компании Xunlei Networking Technologies (разработчик Xunlei).

Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (3 октября) секьюрити-фиксы покрывают 27 уникальных уязвимостей (4 исправления со статусом Critical и 4 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь.

MS13-080 закрывает известную Remote Code Execution 0day уязвимость [memory corruption / use-after-free] CVE-2013-3893 (ESET: Win32/Exploit.CVE-2013-3893.A, Symantec: Bloodhound.Exploit.513, Microsoft: Exploit:JS/ShellCode.BB), которая использовалась ранее в целенаправленных атаках. Обновление нацелено на исправление в общей сложности десяти Critical уязвимостей в браузере Internet Explorer (начиная с 6-й версии и заканчивая новейшим IE11 для всех ОС Windows XP — 8 — 8.1 — RT 8.1, x32 и x64, серверных версий ОС как Moderate). Злоумышленники использовали эксплойт к этой уязвимости для скрытной установки вредоносного кода (drive-by). Это первое публичное исправление для новейшего браузера Internet Explorer 11 [в рамках patch tuesday], который используется в операционных системах Windows 8.1 и RT 8.1. Для применения исправления нужна перезагрузка.

Вчера в твиттере появилась новость, которая буквально всколыхнуло security-сообщество. Исследователь из компании Fox-IT указал на то, что человек под псевдонимом «Paunch», известный как автор самого «успешного» и прибыльного на киберпреступном рынке набора эксплойтов Blackhole арестован. Вчера эта новость казалась все еще не совсем проверенной, поскольку публично поступала несколько противоречивая информация, например, на одном из закрытых андерграундных форумах утверждалось, что это не соответствует действительности. Однако сегодня эта информация получила подтверждение. Более подробная информация по прежнему не разглашается.

Troels Oerting, head of the European Cybercrime Centre, an arm of Europol, confirmed to TechWeekEurope an arrest had been made and details came through to his organisation yesterday. “I know it is true, we got some information, but I cannot say anymore,” Oerting told TechWeek. He said he could not reveal any more on the nature of the arrest.

Adobe объявила, что стала целью крупной кибератаки, в которой личные данные клиентов оказались под угрозой. Речь идет о компрометации почти трех млн. аккаунтов и утечки исходных текстов продуктов, в т. ч. Adobe Acrobat, ColdFusion, ColdFusion Builder. По сообщению компании злоумышленникам удалось получить доступ к таким персональным данным клиентов [в зашифрованном виде] как: данные аккаунтов (логин, пароль) / customer ID, номера кредитных карт и другие важные сведения.

Our investigation currently indicates that the attackers accessed Adobe customer IDs and encrypted passwords on our systems. We also believe the attackers removed from our systems certain information relating to 2.9 million Adobe customers, including customer names, encrypted credit or debit card numbers, expiration dates, and other information relating to customer orders. At this time, we do not believe the attackers removed decrypted credit or debit card numbers from our systems. We deeply regret that this incident occurred. We’re working diligently internally, as well as with external partners and law enforcement, to address the incident.

Недавно наши специалисты обнаружили новую вредоносную программу, которая была добавлена в антивирусные базы как Win32/Napolar. Мы обратили на нее внимание в середине августа из-за интересных методов антиотладки и внедрения кода. Бот используется злоумышленниками в нескольких целях: проведение DoS-атак, организация SOCKS прокси-сервера, кража данных с зараженных систем. Как и прочие троянские программы, Win32/Napolar умеет внедрять свой код в браузеры с целью получения данных из веб-форм.

Мы наблюдали активность Napolar с конца июля. С тех пор были зафиксированы тысячи случаев заражения, многие из которых в Южной Америке. На такие страны как Перу, Эквадор и Колумбия приходится наибольшее число заражений. Больше информации о географии распространения можно найти на virusradar.

Ранее мы упоминали о новом мощном банковском вредоносном ПО KINS. Речь идет о crimeware toolkit, который предоставляет злоумышленникам большие возможности по краже различных данных у пользователей. Теперь же стало известно, что часть текстов «клиентской» части KINS оказалась доступна всем желающим. В блоге Xylit0l указываются некоторые несоответствия оригинальной статьи Fox-IT о первых семплах KINS, которая была выпущена после публикации RSA.



Мы можем констатировать, что утечка текстов очередного вредоносного банковского ПО является плохой новостью для пользователей, поскольку спровоцирует новую волну распространения дропперов, основанных на этих текстах. Архив включает в себя:

Вредоносное ПО, которое шифрует файлы пользователей, а затем просит деньги за расшифровку, не является новым. Такие семейства получили общее название Filecoder и являются распространенным типом угроз — их называют вымогателями (ransomware). За последние несколько месяцев мы отметили значительный рост активности шифровальщиков FileCoder. Антивирусные продукты ESET обнаруживают эти угрозы как Win32/Filecoder и Win32/Gpcode.

Наша система телеметрии ESET Live Grid показывает, что еженедельное количество обнаружений объектов Win32/Filecoder выросло более чем на 200% с июля 2013 г. — в сравнение со средним показателем за январь-июнь того же года.



Больше всего пострадала от деятельности этого вредоносного ПО Россия. В других странах активность присутствует в меньшей степени.

На этой неделе мы писали про обнаруженную 0day уязвимость в браузере Internet Explorer, которая использовалась в таргетированной атаке. Позднее специалисты компании FireEye опубликовали детали расследования этой атаки, где указывается, что цели атакующих находились в Японии, а сами атакующие располагали той же инфраструктурой, которая использовалась при компрометации Bit9. Данная операция получила название «DeputyDog» и использовалась для установки вредоносного ПО с использованием соответствующего эксплойта.

Антивирусные продукты ESET обнаруживают этот эксплойт как Win32/Exploit.CVE-2013-3893.A.

Microsoft сообщает об обнаруженной таргетированной атаке на пользователей браузера Internet Explorer 8 & 9, в которой используется 0day уязвимость (CVE-2013-3893 MSHTML Shim), присутствующая во всех версиях браузера IE (6-10) для всех версий ОС XP(SP3)-Vista-Seven-8-RT x32/x64. Как и в случае со многими другими уязвимостями в IE, она имеет тип Remote Code Execution и используется злоумышленниками для скрытной установки вредоносного кода. Эксплуатирование относится к типу memory-corruption и связано с неправильным обращением кода браузера к удаленному блоку памяти (use-after-free). При этом исполняемый код получит те же права в системе, что и текущий пользователь.

Microsoft is investigating public reports of a vulnerability in all supported versions of Internet Explorer. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability in Internet Explorer 8 and Internet Explorer 9. Applying the Microsoft Fix it solution, «CVE-2013-3893 MSHTML Shim Workaround,» prevents the exploitation of this issue. See the Suggested Actions section of this advisory for more information.

The vulnerability is a remote code execution vulnerability. The vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted or has not been properly allocated. The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer. An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the website.

Мы уже писали про Hesperbot, эта угроза представляет из себя новое банковское вредоносное ПО и имеет модульную архитектуру. Злоумышленники использовали его для проведения атак на пользователей различных стран, включая Турцию, Чехию, Португалию и Великобританию. Основной целью атак было похищение конфиденциальных данных онлайн-банкинга пользователей и установка мобильного компонента вредоносного кода на устройства под управлением Symbian, Android, Blackberry. Киберпреступники использовали убедительную схему фишинга для заманивания пользователей на вредоносные ссылки, что делало их подход еще более практичным.



Компрометация пользователя происходит при переходе по вредоносной ссылке. Ниже показана схема, используемая злоумышленниками.


Рис. Схема компрометации пользователя.

Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (5 сентября) секьюрити-фиксы покрывают более 50 уникальных уязвимостей (4 исправления со статусом Critical и 10 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Одно из обновлений MS13-069 нацелено на исправление десяти Critical уязвимостей в браузере Internet Explorer (начиная с 6-й версии и заканчивая новейшим IE 10 для всех ОС Windows XP — 8 — RT, x32 и x64, серверных версий ОС как Moderate). Уязвимости относятся к типу Remote Code Execution (memory-corruption) и могут использоваться для скрытной установки вредоносного кода (drive-by). Для применения исправления нужна перезагрузка.



В сентябре стали известны подробности эксплуатирования RCE уязвимости в win32k.sys, которая была закрыта MS13-053 и может использоваться для обхода ограничений режима sandbox в браузере Google Chrome (Google Chrome full sandbox bypass w/ win32k, WebKit/Blink flaws via CVE-2013-0912, CVE-2013-1300). Успешная демонстрация работы связки эксплойтов для проведения drive-by атаки в последней [на тот момент] версии Chrome была продемонстрирована на Pwn2Own 2013, о чем мы уже писали ранее. В прошлом месяце Microsoft закрыли уязвимости в последней версии Internet Explorer и механизме ASLR, которые использовались для успешного проведения drive-by атаки в рамках Pwn2Own 2013.

В середине августа мы обнаружили кампанию по распространению вредоносного ПО, которая была нацелена на Чехию. Она привлекла наше внимание, поскольку файлы вредоносной программы распространялись через URL-адреса, очень напоминающие адреса почтового департамента Чехии. Дальнейший анализ файлов показал, что мы имеем дело с банковским вредоносным ПО, которое аналогично по своим возможностям Zeus и SpyEye, но отличается от уже известных семейств технической реализацией своих возможностей.



Новая троянская программа получила название Win32/Spy.Hesperbot и представляет из себя мощный инструмент для кражи данных онлайн-банкинга. Hesperbot имеет следующие возможности:

• перехват сетевого трафика и HTML-инъекции;
• кейлоггер;
• создание скриншотов рабочего стола;
• захват видео;
• создание удаленного прокси-соединения;
• создание скрытого VNC-сервера.

Несколько месяцев назад мы писали о PowerLoader. Этот вредоносный код использует интересный метод повышения привилегий в контексте explorer.exe. Исходные тексты PowerLoader, которые оказались доступными для общественности, используются и в других семействах вредоносных программ. Например, дропперы буткита Win32/Gapz основаны на этом коде PowerLoader. В августе мы обнаружили новую модификацию PowerLoader для 64-битных ОС (обнаруживается ESET как Win64/Vabushky.A). Эта модификация использует три эксплойта для поднятия своих привилегий в системе (Local Privelege Escalation): MS13-053 (CVE-2013-3660), MS12-041 (CVE-2012-1864), и MS12-042 (CVE-2012-0217). Использование таких эксплойтов ранее не наблюдалось в семплах PowerLoader или родственных ему семействах. Александр Матросов выполнил анализ этого вредоносного ПО.

Вредоносный код Win64/Vabushky является хорошим примером того, как быстро злоумышленники обновляют свои проекты с использованием исходных текстов Carberp. Два 64-битных эксплойта (CVE-2012-1864 и CVE-2012-0217) из нового PowerLoader основаны на исходных текстах Carberp. Стоит так же отметить, что код PowerLoader, который стал доступен для общественности в апреле 2013, спровоцировал новую волну распространения дропперов, основанных на нем.

Несколько дней назад la Repubblica опубликовала информацию итальянских security-ресерчеров о спам-кампании в Facebook, которая развивалась очень стремительными темпами. За 70 часов более 500 тысяч пользователей было скомпрометировано переходами по вредоносным ссылкам, которые распространялись через встроенный в Facebook сервис сообщений. Злоумышленники использовали такой род фишинга, при котором пользователю отправлялось сообщение о том, что он был помечен (tagged) в записи другого пользователя. Ссылка ведет на сторонний сайт, веб-страница которого содержит видео. При попытке просмотра видео пользователю предлагается установить специальное расширение для браузера, которое злоумышленники маскируют под словом «плагин».



Расширение получает доступ к браузеру пользователя и может контролировать все его действия в нем. Подобный код называют вредоносным, так как под компрометацию попадают конфиденциальные данные пользователя, которые браузер уже содержит и все данные, которые пользователь будет вводить в формы веб-страницы при работе с системами онлайн-банкинга или иными сервисами. Расширения являются эффективным легитимным средством и могут служить заменой уже довольно обкатанной у злоумышленников системе поддельных форм и внедрения вспомогательного кода в процесс браузера. Это, в свою очередь, еще больше затрудняет выявление действий вредоносного кода «невооруженным глазом».

В прошлом месяце мы писали о кампании по распространению вредоносного ПО «Home Campaign». Злоумышленники на протяжении длительного времени компрометировали веб-серверы, работающие под управлением Apache Linux, используя при этом вредоносный модуль Apache известный как Darkeech (обнаруживается ESET как Linux/Chapro). Этот код использовался для перенаправления пользователей веб-сайтов на набор эксплойтов Blackhole Exploit Kit. В процессе анализа атаки выяснилось, что ее полезной нагрузкой было семейство вымогателей (ransomware) Win32/Nymaim. Данный анализ посвящен техническим особенностям этой вредоносной программы и способам ее установки на компьютеры пользователей.

Компания опубликовала новые версии обновлений MS13-061 (v. 3) и MS13-057 (v. 3). Мы уже писали, что MS13-061 (cross- Exchange Server 2007-2010-2013 RCE fix) был отозван после августовского Patch Tuesday из-за сбоев в работе Exchange Server 2013 и проблем с остановкой индексации писем на сервере. Данная версия обновления исправляет ошибки, допущенные в предыдущем релизе. Пользователям, у которых уже установлено MS13-061, будет предложено обновить его последней версией исправления.